Sujet Précédent Sujet Suivant

Virus Trojan-Downloader.win32.Zlob.nr

Sylvie -  
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
bonjour, quelle désagréable surprise de savoir que votre pc est inffecté alors que vous avez un anti- virus!! bon voilà mon problème,
4 virus de type trojan-Downloader.win32.zlob.nr on été detecté sur mon pc, mon anti-virus ne peut en venir a bout que me faut -il faire, je ne suis pas très expérimenté dans le domaine informatique, je me débrouille un p 2 virus ce trouve dans c:/documents and settings/maxime/Application data/nvsvcd.exeet 2 autres dans c:/windows/systéme:smss.exe. merci de me répondre afin de trouver une solution a mon problème car orange me menace de
suspendre mon accés si je ne trouve pas une solution merci a vous tous qui pourrait m'aider Sylvie
A voir également:

41 réponses

Réponse 1 / 41
^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Salut,
F - Hijackthis - Outil de diagnostic et réparation
lire démo
http://pageperso.aol.fr/balltrap34/Hijenr.gif
http://pageperso.aol.fr/balltrap34/demohijack.htm
Télécharge version française ici
http://telechargement.zebulon.fr/160-patch-francais-pour-hijackthis-1991.html
Copie/colle le rapport

Bon courage

A++

0
Réponse 2 / 41
sylvie
 
merci marie de m'avoir consacré un peut de ton temps je suis débutante dans le monde de l'informatique p tu me donner plus en détail la marche a suivre merci de bien vouloir t'occuper de moi j'attend ta réponse Sylvie
0
Réponse 3 / 41
^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Slt,

Lis les démos que je t'ai donné...

lire démo
http://pageperso.aol.fr/balltrap34/Hijenr.gif
http://pageperso.aol.fr/balltrap34/demohijack.htm

Et tu télécharges Hitjackthis
Télécharge version française ici
http://telechargement.zebulon.fr/160-patch-francais-pour-hijackthis-1991.html
Tu auras un peu au milieu de la page, "télécharger hit..." etc

Il va te sortir un rapport, tu le sélectionnes, tu le copies et colles à la suite

A++

0
sylvie
 
j'ai bien trouver le rapport, j'ai selectionner mais je ne sait pas ou le coller ? a ++
0
Réponse 4 / 41
^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 279
 
ici,
0
sylvie
 
je suis dsl ça ne fonctionne pas j'essaie de coller mais ça ne prends pas
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 41
^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 279
 
CTRL+C ====> copier
CTRL+V====> coller

Essaie
0
sylvie
 
merci marie pour ta patience je croie que je ne suis vraiment pas douée
pour l'informatique, je mis remettre demain p être avec un peu repos les choses me paraitrons un p plus claire et je ferais a nouveau tous ce que tu m'as dit de faire merci encore et bonne soirée, p tu me dire si je p continuer a surfer sur le net tout de même avec ses virus ?
0
Réponse 6 / 41
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut Sylvie,

Lorsque le rapport apparait donc le bloc note, va dans edition < tout selectionner
Puis va dans edition < copier

Viens un message, clik droit et coller.

Tu peux surfer mais c est un probleme a prendre au serieux. N accepte rien de ce que tu ne connais, telecharge que ce dont tu es sur.

a+
0
sylvie
 
je suis désespérer je n'y arrive pas
je ne comprends pas !! lorsque je suis sur le bloc note je fais ce que tu me dit mais lorsqu'il faut que je le colle sur le forum cela ne marche pas je ne dois pas faire les choses correctement mais je préfére revenir demain, là je sent que je vais m'énerver et je n'arriverais a rien donc merci pour vos conseil et p être a demain si vous le voulez bien !!! merci bonne soirée sylvie
0
Réponse 7 / 41
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Bonsoir Sylvie,

Inutile de vous enervez, on arrivera a rien sinon.
Dites moi, si vous le copier et le coller dans word, est ce qu il s affiche?

a+
0
sylvie
 
oui cela fonctionne
0
Réponse 8 / 41
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
D'accord Tres bien Sylvie, enregistre le dans mes documents.

Clik sur ce site:

https://www.cjoint.com/

Clik sur parcourir et recherche le document que tu viens d enregistrer (ou il y a le rapport).
Puis clik sur Ouvrir.
Ensuite, clik sur creer le lien ci joint.
Un lien apparait, donne le nous

;-)
A+
0
sylvie
 
https://www.cjoint.com/?howGOqfZtH
0
Réponse 9 / 41
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Coucou Sylvie,

Tu es infecté.

Peux tu me fournir ces 2 rapports s il te plait:

1-Télécharge Blacklight (de F-Secure) a l’une des 2 adresses :
https://www.f-secure.com/en
https://www.f-secure.com/en

et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse

2-Lance HijackThis mais cette fois, clik sur ces options la -> Open the misc tools sections -> open Uninstall manager -> clique sur "Save list" -> enregistre le fichier -> fais-en un copier/coller ici.

;-)
PS: Tu te debrouilles bien, bravo !
0
sylvie
 
07/14/06 22:48:06 [Info]: BlackLight Engine 1.0.42 initialized
07/14/06 22:48:06 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/14/06 22:48:06 [Note]: 7019 4
07/14/06 22:48:06 [Note]: 7005 0
07/14/06 22:48:20 [Note]: 7006 0
07/14/06 22:48:20 [Note]: 7011 3576
07/14/06 22:48:21 [Note]: 7026 0
07/14/06 22:48:21 [Note]: 7026 0
07/14/06 22:48:21 [Note]: 7024 3
07/14/06 22:48:21 [Info]: Hidden process: C:\windows\system32\khpzmtnarc.exe
07/14/06 22:48:21 [Note]: FSRAW library version 1.7.1019
07/14/06 22:53:47 [Info]: Hidden file: c:\WINDOWS\system32\khpzmtnarc_nav.dat
07/14/06 22:53:47 [Note]: 10002 1
07/14/06 22:53:48 [Info]: Hidden file: c:\WINDOWS\system32\khpzmtnarc.dat
07/14/06 22:53:48 [Note]: 10002 1
07/14/06 22:53:48 [Info]: Hidden file: C:\windows\system32\khpzmtnarc.exe
07/14/06 22:53:48 [Note]: 10002 1
07/14/06 22:53:48 [Info]: Hidden file: c:\WINDOWS\system32\khpzmtnarc_navps.dat
07/14/06 22:53:48 [Note]: 10002 1
07/14/06 22:54:06 [Info]: Hidden file: c:\WINDOWS\Prefetch\KHPZMTNARC.EXE-0ACBC397.pf
07/14/06 22:54:06 [Note]: 10002 1
0
Réponse 10 / 41
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Tres bien, puis je avoir l autre?
0
sylvie
 
je suis bloqué sur le lancement de hijackthis on me dit qu'une erreur est survenue lors du remplacement du fichier existant deletefile a échouée code 5 accés refuser, .....tu disiais que je me débrouillé bien est tu toujours d'accord ?????
0
sylvie
 
j'ai télécharger hijackthis en version française, p tu me donnes les instructions que tu m'as écris anglais en français ?
0
sylvie
 
je voie que tu est très occuper sur le forum,si tu le souhaite nous reprendrons notre conversation demain si tu es dispo
0
Réponse 11 / 41
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Oui je t assure, c est tres bien.
Tu veux les manips ce soir ou si je te la fais courant de journee de demain cela te convient il?

HijackThis -> Open the misc tools sections [section OUTILs en francais] >puis open Uninstall manager [les processus]-> clique sur "Save list" [sauvegarder]-> enregistre le fichier -> fais-en un copier/coller ici.

et aussi celui ci si tu veux bien:
Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

PS: Desole si je t ai fait telecharger 4 programmes, on les supprimera si tu veux quand tout sera fini.
0
sylvie
 
oui il est préférable que nous voyions tous cela demain je suis un p dérouter par tout cela demain aprém si tu es dispo car le matin je bosse, merci beaucoup pour ta patience!!!! ta gentillesse et ta disponibilité bonne soirée a demain sylvie
0
Réponse 12 / 41
sylvie
 
dsl mais comme j'y suis arriver je pense j'ai préférer te l'envoyer est ce que c bien ça ?

Rapport fait à 23:37:56,68, 14/07/2006
Executé à partir de C:\Documents and Settings\Sylvie\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Sylvie\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Sylvie\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 13 / 41
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut

Oui c est bien cela pour ce programme, celui la est clean.

Bon courage pour le travail de demain. On se recontacte sans problemes pour la suite ;-)

Demain, essai ceci:
HijackThis -> Open the misc tools sections [section OUTILs en francais] >puis open Uninstall manager [les processus]-> clique sur "Save list" [sauvegarder]-> enregistre le fichier -> fais-en un copier/coller ici.

Si tu n y arrives pas, demande moi, j essaierais de faire mieux.

Bonne nuit, bon repos et bon courage pour toi demain.

A+
0
Réponse 14 / 41
sylvie
 
bonjour ! je suis de retour toujours avec mon problème, je croyez qu'une bonne nuit de repos effaceré tous ça mais non le virus est toujours là! bon suis préte pour continuer, on y vas ?
0
Réponse 15 / 41
sylvie
 
coucou régis est tu là ? occupé p être, bon c pas grave j'ai ouvert hijackthis __________ outil, puis ouvrir le procésus, il apparait une liste j'appuie sur sauve mais rien ne ce fait, j'ai aussi essayer de griser la liste et de faire un copier mais ça ne marche pas
0
Réponse 16 / 41
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut

me revoila lol

Bon c est pas grave, je ferais sans.
Peux tu me redonner le rapport de black light avec un nouvel hijack this (par word)?

a+
0
sylvie
 
Engine 1.0.42 initialized
07/14/06 22:48:06 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/14/06 22:48:06 [Note]: 7019 4
07/14/06 22:48:06 [Note]: 7005 0
07/14/06 22:48:20 [Note]: 7006 0
07/14/06 22:48:20 [Note]: 7011 3576
07/14/06 22:48:21 [Note]: 7026 0
07/14/06 22:48:21 [Note]: 7026 0
07/14/06 22:48:21 [Note]: 7024 3
07/14/06 22:48:21 [Info]: Hidden process: C:\windows\system32\khpzmtnarc.exe
07/14/06 22:48:21 [Note]: FSRAW library version 1.7.1019
07/14/06 22:53:47 [Info]: Hidden file: c:\WINDOWS\system32\khpzmtnarc_nav.dat
07/14/06 22:53:47 [Note]: 10002 1
07/14/06 22:53:48 [Info]: Hidden file: c:\WINDOWS\system32\khpzmtnarc.dat
07/14/06 22:53:48 [Note]: 10002 1
07/14/06 22:53:48 [Info]: Hidden file: C:\windows\system32\khpzmtnarc.exe
07/14/06 22:53:48 [Note]: 10002 1
07/14/06 22:53:48 [Info]: Hidden file: c:\WINDOWS\system32\khpzmtnarc_navps.dat
07/14/06 22:53:48 [Note]: 10002 1
07/14/06 22:54:06 [Info]: Hidden file: c:\WINDOWS\Prefetch\KHPZMTNARC.EXE-0ACBC397.pf
07/14/06 22:54:06 [Note]: 10002 1
07/14/06 22:58:19 [Note]: 7007 0
0
sylvie
 
Scan saved at 16:06:36, on 15/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Spleak\SpleakLoader.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\DfrgNtfs.exe
C:\WINDOWS\system32\DfrgNtfs.exe
C:\WINDOWS\system32\DfrgNtfs.exe
C:\WINDOWS\system32\DfrgNtfs.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\eMule\eMule.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Program Files\ScanSoft\OmniPageSE2.0\EregFre\Ereg.exe" -r "C:\Program Files\ScanSoft\OmniPageSE2.0\EregFre\ereg.ini"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SpleakPlugin] "C:\Program Files\Spleak\SpleakLoader.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [SystemDoctor 2006 Free] C:\Program Files\SystemDoctor 2006 Free\sd2006.exe -scan
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [SFS6] "C:\Program Files\Steganos Secure FileSharing 6\sfs.exe" /booting
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Program Files\Hijackthis Version Française\HijackThis.exe /startupscan
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site....
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www.nordnet.com/securite
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
0
sylvie
 
est ce que c bien tout ça ? je n'est pas fait d'erreur ?
0
sylvie
 
est ce que tu crois que je vais m'en sortir ça me parait assez compliqué tous ça, et je commence a me perdre un p avec tous ses programmes
0
Réponse 17 / 41
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Impecable, retour dans 10/15 min avec la manipulation a faire.
0
Réponse 18 / 41
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Coucou Sylvie,

Dans un premier temps, je vais te rassurer, ca semble long mais tu te rendra compte que tout ce qui est a faire est rapide, vraiment simple car les explications sont tres detaillees.
Lis tout jusqu a la fin, si tu as une incertitude demande moi, sinon tu peux y lancer, je suis sur que tu vas y arriver sans problemes !

Télécharge Brute Force Uninstaller (de Merijn) ici:
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement à la racine de ton disque dur ou l'endroit qui te convient, nomme ce dossier BFU.
Décompresse le fichier téléchargé dans ce nouveau dossier (par exemple C:\BFU)

Ensuite, télécharge EGDACCESS.bfu (de Metallica) :

Fais un clik droit ici : http://metallica.geekstogo.com/EGDACCESS.bfu et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer ; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

Si tu utilises Internet Explorer, assure-toi lors de la sauvegarde que le champs "Type :" affiche "Tous les fichiers".
Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

Ferme Internet.

1) Vas dans demarer < panneau de configuration < ajout/suppression de programme.

Recherche ceci et desinstalle ceci (si present):

*Mailskinner
*SystemDoctor

2) ¤ Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll (file missing)

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [SystemDoctor 2006 Free] C:\Program Files\SystemDoctor 2006 Free\sd2006.exe -scan

O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

3)¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.

Et appliquer !

5)¤Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

6)¤Recherche et supprime ceci:
attention seulement les fichiers (si présents).

C:\WINDOWS\system\smss.exe
C:\Program Files\SystemDoctor 2006 Free
c:\program files\mailskinner
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\nvsvcd.exe

Note: Tu supprimes ce que je met en gras.
Par exemple pour trouver le 1er (C:\WINDOWS\system\smss.exe)
Tu clik sur demarer < poste de travail < c: < windows < system (sur system !! /!\ c'est important) puis tu descend, c est par ordre alphabetique, et tu vas trouver smss.exe, clik droit dessu et tu choisis supprimer.

Pour le 2e a supprimer:
C:\Program Files\SystemDoctor 2006 Free

Tu clik sur demarer < poste de travail < c: < program files et la tu vas trouver un fichier systemdoctor, clik droit et supprimer.

7)¤Arrête ces services comme ceci:

Clique sur Démarrer->exécuter->tape: services.msc

Recherche et Double-clique sur : France Telecom Routing Table Service

Règle-le sur "Arrêté" et "Désactivé".

Puis tu recherche et fais la meme manipulation avec ceci:

Windows Log

8) Clik sur demarer < redemarer l ordinateur et laisse l ordinateur redemarrer, il va revenir normalement.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

Lance "Brute Force Uninstaller" en double-cliquant BFU.exe (Dans le dossier C:\BFU)
- Clique sur le petit dossier jaune, et clique sur : EGDACCESS.bfu
- Coches la case Show log after script ends
- Clique sur Execute pour que le fix fasse son boulot :-)

Attends que le message Complete script execution apparaîsse et clique sur OK.
Un rapport va s'afficher dans la fenetre du programme, copie et colle dans le bloc-notes, puis sauvegardes le, tu le posteras plus tard sur le forum.
Clique Exit pour fermer le programme BFU.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

Ensuite, lance Blacklight en double cliquant sur blbeta.exe et accepte la licence.
Clique sur Scan pour lancer l'analyse.
Une fois fait, selectionnes chaques fichiers trouvés et clic sur "RENAME"
Puis valide.
Réponds oui aux messages d'avertissements et te demandant si tu autorises le reboot du pc.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

Après le reboot du pc, les fichiers :

c:\WINDOWS\system32\khpzmtnarc_nav.dat
c:\WINDOWS\system32\khpzmtnarc.dat
C:\windows\system32\khpzmtnarc.exe
c:\WINDOWS\system32\khpzmtnarc_navps.dat
c:\WINDOWS\Prefetch\KHPZMTNARC.EXE-0ACBC397.pf

devraient être visible et pouvoir être supprimés sans aucuns soucis.
Blacklight ne les supprimes pas, il les renommes simplement et il va falloir que tu les vires toi même:
Va dans C:\windows\system32\ et recherches et effaces:

khpzmtnarc_nav.dat.ren
khpzmtnarc.dat.ren
khpzmtnarc.exe.ren
khpzmtnarc_navps.dat.ren

Une fois fait, redemarre ton ordinateur, reconnecte toi a internet et reposte un rapport hijackthis + le rapport de BFU que tu auras sauvegardé et un nouveau rapport de blacklight.

bon nettoyage et bon courage ;-)
Si tu as la moindre question, hesitation, nous sommes la pour y repondre.

A+
0
sylvie
 
tu as raison cela semble bien long !!!, j'ai pas mal commencer par contre je bloque au démarage en mode sans echec, lorque j'appuie sur la touche f8 j'ai une fenetre bleu qui apparait,et qui dit : charger le menu, choisir une botte en 1er appareil
-disque dur
3zd master : mastor 6l160m0
bootable add-incards
cdrom
-2nd master: sonny dvd-rom
-2nd slave nec dvd rw nd
legs lan
invidia boot agent

je ne voie nulle par (démarrer en mode sans échec ) je dois faire quoi ?
0
Réponse 19 / 41
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut

On dirait que tu es dans le bios...

Ce n'est pas la.Imprime ou note ceci.
Demarre en mode sans echec comme ceci alors:

clik sur demarrer/executer et tapez msconfig
cochez demarrage en mode diagnostic /appliquer et redemarrer
la il vas se mettre tous seul en mode sans echec
pour revenir comme avant , n oublie pas de refaire ceci:
demarer < executer < msconfig, onglet general < recochez comme c etait au depart et redemarrer le pc

a+
0
sylvie
 
07/15/06 19:33:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/15/06 19:33:05 [Note]: 7019 4
07/15/06 19:33:05 [Note]: 7005 0
07/15/06 19:33:07 [Note]: 7006 0
07/15/06 19:33:07 [Note]: 7011 1944
07/15/06 19:33:07 [Note]: 7026 0
07/15/06 19:33:07 [Note]: 7026 0
07/15/06 19:33:07 [Note]: 7024 3
07/15/06 19:33:07 [Info]: Hidden process: C:\windows\system32\khpzmtnarc.exe
07/15/06 19:33:07 [Note]: FSRAW library version 1.7.1019
07/15/06 19:36:08 [Note]: 4020 18309 65536
07/15/06 19:36:08 [Note]: 4020 18309 65536
07/15/06 19:36:08 [Note]: 4018 18309 65536
07/15/06 19:37:39 [Info]: Hidden file: c:\WINDOWS\system32\khpzmtnarc_nav.dat
07/15/06 19:37:39 [Note]: 10002 1
07/15/06 19:37:40 [Info]: Hidden file: c:\WINDOWS\system32\khpzmtnarc.dat
07/15/06 19:37:40 [Note]: 10002 1
07/15/06 19:37:40 [Info]: Hidden file: C:\windows\system32\khpzmtnarc.exe
07/15/06 19:37:40 [Note]: 10002 1
07/15/06 19:37:40 [Info]: Hidden file: c:\WINDOWS\system32\khpzmtnarc_navps.dat
07/15/06 19:37:40 [Note]: 10002 1
0
Réponse 20 / 41
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Kikou Sylvie,

tu t en sors? Ou es tu arrivée?

a++
0
sylvie
 
dsl régis de ne pas t'avoir donner de nouvelle j'ai des amies qui sont venue à la maison donc j'ai laisser tomber le pc , j'ai galéré, et je n'y suis pas arrivé est ce que je p recommencer ?bizz sylvie
0
sylvie
 
bon je mis suis remise sérieusement, j'ai un p refait tout le parcour que tu m'as dit, je n'est pu suprimer smss.exe (impossible de supprimé accés
07/15/06 19:33:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/15/06 19:33:05 [Note]: 7019 4
07/15/06 19:33:05 [Note]: 7005 0
07/15/06 19:33:07 [Note]: 7006 0
07/15/06 19:33:07 [Note]: 7011 1944
07/15/06 19:33:07 [Note]: 7026 0
07/15/06 19:33:07 [Note]: 7026 0
07/15/06 19:33:07 [Note]: 7024 3
07/15/06 19:33:07 [Info]: Hidden process: C:\windows\system32\khpzmtnarc.exe
07/15/06 19:33:07 [Note]: FSRAW library version 1.7.1019
07/15/06 19:36:08 [Note]: 4020 18309 65536
07/15/06 19:36:08 [Note]: 4020 18309 65536
07/15/06 19:36:08 [Note]: 4018 18309 65536
07/15/06 19:37:39 [Info]: Hidden file: c:\WINDOWS\system32\khpzmtnarc_nav.dat
07/15/06 19:37:39 [Note]: 10002 1
07/15/06 19:37:40 [Info]: Hidden file: c:\WINDOWS\system32\khpzmtnarc.dat
07/15/06 19:37:40 [Note]: 10002 1
07/15/06 19:37:40 [Info]: Hidden file: C:\windows\system32\khpzmtnarc.exe
07/15/06 19:37:40 [Note]: 10002 1
07/15/06 19:37:40 [Info]: Hidden file: c:\WINDOWS\system32\khpzmtnarc_navps.dat
07/15/06 19:37:40 [Note]: 10002 1
07/15/06 19:37:55 [Info]: Hidden file: c:\WINDOWS\Prefetch\KHPZMTNARC.EXE-0ACBC397.pf
07/15/06 19:37:55 [Note]: 10002 1
07/15/06 19:42:43 [Note]: 7007 0
je te fais parvenir le le rapport que tu m'as demander , je voie bien qu'il fait mention des fichiers qu'i faut éliminer, mais lorsque je vais dans windows système 32, je ne les trouves pas je comprends plus rien!!!!, pourtant j'ai essayer de faire de mon mieux mais bon, j'ai du foiré quelque part
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses